Bu məqalə Faylsız Zərərli Proqramlar seriyasının bir hissəsidir. Seriyanın bütün digər hissələri:
- Tutulmayan Zərərli Proqramın sərgüzəştləri, II hissə: Gizli VBA Skriptləri (biz buradayıq)
Mən saytın pərəstişkarıyam (hibrid analiz, bundan sonra HA). Bu, hücuma məruz qalmadan vəhşi “yırtıcıları” təhlükəsiz məsafədən təhlükəsiz şəkildə müşahidə edə biləcəyiniz bir növ zərərli proqram zooparkıdır. HA təhlükəsiz mühitlərdə zərərli proqramlar işlədir, sistem zənglərini, yaradılmış faylları və İnternet trafikini qeyd edir və təhlil etdiyi hər bir nümunə üçün sizə bütün bu nəticələri verir. Bu yolla, çaşqınlıq yaradan kodu özünüz anlamağa çalışaraq vaxtınızı və enerjinizi sərf etməməlisiniz, lakin hakerlərin bütün niyyətlərini dərhal anlaya bilərsiniz.
Diqqətimi çəkən HA nümunələri Word və ya Excel sənədlərinə makro kimi daxil edilmiş və fişinq e-poçtlarına əlavə edilmiş kodlu JavaScript və ya Visual Basic for Applications (VBA) skriptlərindən istifadə edir. Açıldıqda, bu makrolar qurbanın kompüterində PowerShell seansına başlayır. Hakerlər adətən PowerShell-ə Base64 kodlu əmr axını göndərirlər. Bütün bunlar hücumun müəyyən açar sözlərə cavab verən veb filtrləri və antivirus proqramı tərəfindən aşkarlanmasını çətinləşdirmək üçün edilir.
Xoşbəxtlikdən, HA avtomatik olaraq Base64 kodunu açır və hər şeyi dərhal oxuna bilən formatda göstərir. Əsasən, bu skriptlərin necə işlədiyinə diqqət yetirmək lazım deyil, çünki siz HA-nın müvafiq bölməsində çalışan proseslər üçün tam əmr çıxışını görə biləcəksiniz. Aşağıdakı nümunəyə baxın:
Hibrid analiz PowerShell-ə göndərilən Base64 kodlu əmrləri kəsir:
...və sonra onları sizin üçün deşifrə edir. #sehrli
В PowerShell seansını işə salmaq üçün öz bir az qarışıq JavaScript konteynerimi yaratdım. Skriptim, bir çox PowerShell əsaslı zərərli proqram kimi, uzaq vebsaytdan aşağıdakı PowerShell skriptini endirir. Sonra, nümunə olaraq, ekranda bir mesaj çap edən zərərsiz bir PS yüklədim. Amma zaman dəyişir və indi mən ssenarini mürəkkəbləşdirməyi təklif edirəm.
PowerShell Empire və Reverse Shell
Bu məşqin məqsədlərindən biri hakerin klassik perimetr müdafiəsini və antivirusları necə (nisbətən) asanlıqla necə keçə biləcəyini göstərməkdir. Mənim kimi proqramlaşdırma bacarığı olmayan İT-blogger bunu bir-iki axşam edə bilər (tamamilə aşkar edilməmiş, FUD), bununla maraqlanan gənc hakerin imkanlarını təsəvvür edin!
Əgər siz İT təhlükəsizliyi təminatçınızsınızsa, lakin meneceriniz bu təhlükələrin mümkün nəticələrindən xəbərsizdirsə, ona bu məqaləni göstərin.
Hakerlər qurbanın noutbukuna və ya serverinə birbaşa çıxış əldə etməyi xəyal edirlər. Bunu etmək çox sadədir: hakerin etməli olduğu yeganə şey CEO-nun noutbukunda bir neçə məxfi fayl əldə etməkdir.
Nədənsə mən artıq PowerShell Empire post-istehsal müddəti haqqında. Bunun nə olduğunu xatırlayaq.
Bu, bir çox digər xüsusiyyətlər arasında, asanlıqla tərs qabığı işə salmağa imkan verən, mahiyyətcə, PowerShell əsaslı nüfuz sınağı vasitəsidir. Burada daha ətraflı öyrənə bilərsiniz .
Gəlin bir az təcrübə edək. Mən Amazon Veb Xidmətləri buludunda təhlükəsiz zərərli proqram sınaq mühiti qurdum. Bu zəifliyin işlək nümunəsini tez və təhlükəsiz şəkildə göstərmək üçün mənim nümunəmə əməl edə bilərsiniz (və müəssisənin perimetri daxilində virusları işlətdiyinə görə işdən çıxmayın).
PowerShell Empire konsolunu işə salsanız, belə bir şey görəcəksiniz:
Əvvəlcə haker kompüterinizdə dinləyici prosesinə başlayırsınız. "Listener" əmrini daxil edin və "Set Host" istifadə edərək sisteminizin IP ünvanını təyin edin. Sonra dinləyici prosesini "icra et" əmri ilə başlayın (aşağıda). Beləliklə, siz öz tərəfinizdən uzaq qabıqdan şəbəkə bağlantısını gözləməyə başlayacaqsınız:
Digər tərəfdən, "başlatıcı" əmrini daxil edərək agent kodu yaratmalısınız (aşağıya baxın). Bu, uzaq agent üçün PowerShell kodunu yaradacaq. Qeyd edək ki, o, Base64-də kodlaşdırılıb və faydalı yükün ikinci mərhələsini təmsil edir. Başqa sözlə, mənim JavaScript kodum indi bu agenti zərərsiz şəkildə mətni ekrana çap etmək əvəzinə PowerShell-i işə salacaq və əks qabığı işə salmaq üçün uzaq PSE serverimizə qoşulacaq.
Ters qabığın sehri. Bu kodlanmış PowerShell əmri mənim dinləyicimə qoşulacaq və uzaq bir qabığı işə salacaq.
Bu təcrübəni sizə göstərmək üçün mən günahsız qurban rolunu öz üzərimə götürdüm və Evil.doc-u açdım və bununla da JavaScript-i işə saldım. Birinci hissəni xatırlayırsınız? PowerShell pəncərəsinin görünməsinin qarşısını almaq üçün konfiqurasiya edilmişdir, belə ki, qurban qeyri-adi heç nə görməyəcək. Bununla belə, Windows Tapşırıq Menecerini açsanız, onsuz da əksər insanlar üçün heç bir həyəcan siqnalı verməyəcək arxa planda PowerShell prosesini görəcəksiniz. Çünki bu, adi PowerShell-dir, elə deyilmi?
İndi siz Evil.doc-u işə saldığınız zaman gizli fon prosesi PowerShell Empire ilə işləyən serverə qoşulacaq. Ağ pentester haker şlyapamı taxaraq PowerShell Empire konsoluna qayıtdım və indi uzaq agentimin aktiv olduğu mesajını görürəm.
Daha sonra PSE-də qabıq açmaq üçün "qarşılıqlı əlaqə" əmrini daxil etdim - və orada idim! Bir sözlə, bir dəfə özüm qurduğum Taco serverini sındırdım.
İndicə nümayiş etdirdiklərim sizin tərəfinizdən o qədər də çox iş tələb etmir. İnformasiya təhlükəsizliyi biliklərinizi təkmilləşdirmək üçün bir və ya iki saat nahar fasiləniz zamanı bütün bunları asanlıqla edə bilərsiniz. Bu həm də hakerlərin xarici təhlükəsizlik perimetrinizi necə keçdiyini və sistemlərinizə necə daxil olduğunu başa düşmək üçün əla yoldur.
İstənilən müdaxiləyə qarşı keçilməz müdafiə qurduqlarını düşünən İT menecerləri, yəqin ki, bunu həm də maarifləndirici hesab edəcəklər - yəni onları sizinlə kifayət qədər uzun müddət oturmağa inandıra bilsəniz.
Gəlin reallığa qayıdaq
Gözlədiyim kimi, adi istifadəçi üçün görünməyən real hack, sadəcə olaraq təsvir etdiyim şeyin bir variasiyasıdır. Növbəti nəşr üçün material toplamaq üçün mən icad etdiyim nümunə ilə eyni şəkildə işləyən HA nümunəsini axtarmağa başladım. Mən uzun müddət axtarmalı deyildim - saytda oxşar hücum texnikası üçün bir çox variant var.
Nəhayət HA-da tapdığım zərərli proqram Word sənədinə daxil edilmiş VBA skripti idi. Yəni, sənəd uzantısını saxtalaşdırmağa belə ehtiyacım yoxdur, bu zərərli proqram həqiqətən normal görünüşlü Microsoft Word sənədidir. Əgər maraqlanırsınızsa, mən bu nümunəni seçdim .
Tez öyrəndim ki, siz tez-tez zərərli VBA skriptlərini sənəddən birbaşa çıxara bilməzsiniz. Hakerlər onları sıxışdırır və gizlədirlər ki, Word-ün daxili makro alətlərində görünməsinlər. Onu çıxarmaq üçün xüsusi bir vasitəyə ehtiyacınız olacaq. Xoşbəxtlikdən skanerlə rastlaşdım Frank Baldwin. Təşəkkür edirəm, Frank.
Bu alətdən istifadə edərək, çox qarışıq VBA kodunu çıxara bildim. Bu kimi bir şey görünürdü:
Qarşıdurma işləri öz sahəsində peşəkarlar tərəfindən edilib. Mən heyran oldum!
Təcavüzkarlar kodu çaşdırmaqda həqiqətən yaxşıdırlar, Evil.doc yaratmaq səylərim kimi deyil. Yaxşı, növbəti hissədə VBA sazlayıcılarımızı çıxaracağıq, bu koda bir az daha dərindən girəcəyik və təhlilimizi HA nəticələri ilə müqayisə edəcəyik.
Mənbə: www.habr.com